Uma campanha de malware denominada GitVenom está utilizando centenas de repositórios no GitHub para enganar usuários a baixarem infostealers, Remote Access Trojans (RATs) e clipboard hijackers para roubar criptomoedas e credenciais.
De acordo com a Kaspersky, GitVenom está ativa há pelo menos dois anos, visando usuários globalmente, mas com um foco elevado na Rússia, no Brasil e na Turquia.
“No decorrer da campanha GitVenom, os atores de ameaça por trás dela criaram centenas de repositórios no GitHub que contêm projetos falsos com código malicioso – por exemplo, um instrumento de automação para interagir com contas do Instagram, um bot do Telegram que permite gerenciar carteiras de Bitcoin, e uma ferramenta de hacking para o jogo Valorant,” descreve Georgy Kucherin da Kaspersky.
O pesquisador explica que os repositórios falsos são elaborados com cuidado, contendo detalhes e arquivos Readme apropriadamente escritos, provavelmente com a ajuda de ferramentas de IA.
Além disso, os atores de ameaça usam truques para inflar artificialmente o número de commits enviados a esses repositórios, criando uma imagem falsa de alta atividade e aumentando a credibilidade.
A análise da Kaspersky de múltiplos repositórios apoiando a campanha GitVenom revelou que o código malicioso injetado nos projetos é escrito em várias linguagens, incluindo Python, JavaScript, C, C++ e C#.
Acredita-se que diferentes linguagens sejam usadas para evadir a detecção por ferramentas específicas de revisão de código ou métodos.
Uma vez que a vítima executa o payload, o código injetado baixa a segunda etapa de um repositório GitHub controlado pelo atacante.
A Kaspersky encontrou as seguintes ferramentas usadas no GitVenom:
- Node.js stealer – Infostealer que visa credenciais salvas, informações de carteiras de criptomoedas e histórico de navegação.
Ele comprime os dados em um arquivo .7z e os exfiltra via Telegram.
- AsyncRAT – RAT de código aberto que permite controle remoto, keylogging, captura de tela, manipulação de arquivos e execução de comandos.
- Quasar backdoor – RAT de código aberto com capacidades similares às do AsyncRAT.
- Clipboard hijacker – Malware que monitora a área de transferência da vítima para endereços de carteiras de criptomoedas e substitui qualquer um por um endereço controlado pelo atacante, redirecionando fundos para o hacker.
O relatório destaca um caso de novembro de 2024, quando a carteira Bitcoin do atacante recebeu 5 BTC, valorizados em meio milhão de USD.
Embora malware escondido em repositórios GitHub sob o disfarce de software comum ou até mesmo explorações Proof of Concept (PoC) não seja novidade, a duração e o tamanho do GitVenom provam que o abuso de plataformas legítimas continua a ser muito eficaz.
É crucial investigar um projeto cuidadosamente antes de usar qualquer um de seus arquivos, inspecionando o conteúdo do repositório, escaneando arquivos com ferramentas antivírus e executando arquivos baixados em um ambiente isolado.
Sinais de alerta incluem código ofuscado, commits automatizados incomuns e arquivos Readme excessivamente detalhados que parecem gerados por IA.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...